MikeU <pots_72@e-mail.dk> wrote:
> Efter i noget tid at have fulgt med i den glimrende NG, og set nogen
> både meget kvalificerede og mindre kvalificerede indlæg, har der
> formuleret sig et spørgsmål, jeg må ud med:
>
> Hvordan bliver man "Sikkerhedsekspert"?!
Hvis du spoerger fordi du selv vil igang, kan du starte med dette link:
http://a.area51.dk/sikkerhed/indledning#karriere
> Det virker på mig, som om titlen er lidt letkøbt i nogen tilfælde,
> sikkerhed er jo "hot" nu (som om det ikke var det før!!), og
> bogbutikkernes hylder bugner med "Hacking Ex..." og kloner deraf.
>
> For en dødelig bruger, der "bare" er interesseret i IT sikkerhed, bliver
> det utroligt svært at skelne skidt fra kanel. Jeg troede f.eks længe at
> Steve Gibson var en guru...(men sig det ikke til nogen)!
Saadan er det med alt. Hvis du ikke har nok viden til at bedoemme
situationen bliver du noedt til at vaelge hvem du kan stole paa. Hvordan
ved du, at vedkommende der bliver citeret i dagspressen *forstaar*
problemerne, og ikke blot oversaetter og udgiver som egne vaerker?
De fleste forbrugere (og vaelgere og..) har en daarlig forstaaelse af de
varer de bruger penge paa, og de politikere de bliver praesenteret for
og mange andre dele af deres hverdag. Jeg arbejder med datasikkerhed,
men jeg aner f.eks. ikke hvem der har ret naar det kommer til Bjorn
Lomborg's synspunkter paa miljoet. Jeg kunne saette mig ned og laese
materialet, og jeg ville nok stadigt ikke have en ide om hvem der havde
ret.
Man kan forsoege at skelne rigtige guruer og selvbestaltede ditto ved at
se paa deres historie. Rigtige guruer har ofte vaeret meget i lang tid
(20-30 aar, selvom der er kommet dygtige til med meget mindre erfaring)
og har udgivet vaerker der er blevet kommenteret og kritiseret af andre
experter med viden paa omraadet. Rigtige guruer bruger referencer i bred
udstraekning som del af deres arbejde. I Gibson's tilfaelde er der ikke
et eneste link fra hans website til andre steder, hvilket leder uerfarne
brugere til at tro, at han er kilden for alt det viden.
> Mit pointe er: Bliver man nødt til selv at blive "Sikkerhedsekspert" for
> at blive værdig til at forstå advisories og exploits? Er det overhovedet
> muligt at blive god til et så kompliceret emne, hvis man ikke skal bruge
> al sin tid på det?!
Ting tager tid. Men jeg synes slet ikke at det boer vaere noedvendigt
for slutbrugere at forstaa langt de fleste advisories og tekniske
detailer. Hvis du har en interesse i emnet, er det fint, og du skal have
lov til at bruge din fritid paa det, men saa er du heller ikke en typisk
bruger.
Naar du siger "forstaa exploits", mener du saa, forstaa hvordan koden
virker? Det er naesten folk inden for intrusion detection eller
forensics feltet der interesserer sig for den slags.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org